主页
开发
了解如何使用该产品进行开发。
AppScan® 源跟踪
利用 AppScan® 源跟踪，您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果，并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。
验证和编码作用域
从“跟踪”视图，可以指定定制验证和编码例程，这些例程一旦存储在 AppScan® Source Security Knowledgebase中，就会将数据标记为已检查而不是已感染。通过“定制规则向导”，可基于这些例程的作用域对其进行定义。

开发
了解如何使用该产品进行开发。
- 扫描源代码和管理评估
  本部分说明如何扫描源代码和管理评估。
- 筛选和分析
  通过对相似发现结果进行分组，安全分析人员或 IT 审计员可以对源代码问题进行分段和分类。此部分说明如何将 AppScan® 源评估分类和对结果进行分析。
- AppScan® 源跟踪
  利用 AppScan® 源跟踪，您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果，并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。
  - AppScan® Source 跟踪扫描结果
    扫描结果可能包含由 AppScan® Source 跟踪标识的跟踪。跟踪列中的图标指示存在调用图的跟踪。
  - 输入/输出跟踪
    如果 AppScan® Source for Analysis 可以跟踪从已知源到接收器或丢失的接收器的数据，那么会生成输入/输出跟踪。
  - 使用“跟踪”视图
  - 验证和编码作用域
    从“跟踪”视图，可以指定定制验证和编码例程，这些例程一旦存储在 AppScan® Source Security Knowledgebase中，就会将数据标记为已检查而不是已感染。通过“定制规则向导”，可基于这些例程的作用域对其进行定义。
  - 从 AppScan® Source 跟踪创建定制规则
    您可以从“跟踪”视图创建定制规则，这样允许您可以使用跟踪来过滤感染传播器（而不是易受感染的影响）或接收器的结果。您还可以在跟踪中将方法标记为验证/编码例程（或指出它们是非验证/编码例程的）。
  - 用于跟踪的代码示例
    本部分提供了代码示例，用于演示如何跟踪从源到接收器的感染数据，以及如何创建验证和编码例程。
- AppScan® Source for Analysis 和缺陷跟踪
  AppScan® Source for Analysis 与缺陷跟踪系统IBM® Rational Team Concert™集成以直接向开发者桌面传递已确认的软件漏洞。提交到缺陷跟踪系统的缺陷包含对错误的文本描述和一个仅包含与缺陷一起提交的发现的文件。
- 发现结果报告和审计报告
  安全分析人员和风险管理员可以访问对选定结果的报告，或一系列用于度量与软件安全最佳做法和法规要求是否一致的审计报告。本部分说明如何创建对聚集结果数据的报告。
- 创建定制报告
  在报告编辑器中，可创建用于生成定制报告的报告模板。

验证和编码作用域

从“跟踪”视图，可以指定定制验证和编码例程，这些例程一旦存储在 AppScan® Source Security Knowledgebase中，就会将数据标记为已检查而不是已感染。通过“定制规则向导”，可基于这些例程的作用域对其进行定义。

请参阅示例 4：深度验证以了解用于创建验证和编码例程的过程。

验证或编码例程基于其作用域并定义为：

特定于 API
特定于调用站点

特定于 API

特定于 API 的验证和编码例程可能与单个项目或多个项目相关联。

特定于 API 的例程将清洁来自特定源 API 的所有实例的任何数据。例如，您可以指定针对 API 的任何输入的验证例程：

javax.servlet.ServletRequest.getParameter
(java.lang.string):java.lang.string

特定于 API 的例程存储在服务器上。某个项目的特定于 API 的例程存储在该项目中。

特定于调用站点

特定于调用站点的例程始终与单个项目相关联。

特定于调用站点的例程将清洁来自代码中特定位置的数据。创建特定于调用站点的验证或编码例程时，您指定该例程应用于特定输入调用站点。特定于调用站点的例程始终存储在项目中。

注： “特定于调用站点”应用于对同一方法内验证例程的任何调用。